如何设置对CDP的访问权限

简介: 在公有云或者内外网环境中,Cloudera的平台产品CDH/CDP/HDP需要访问很多Web UI,但系统网络可能仅支持SSH访问(22端口)。要访问Cloudera Manager(7180端口)或者其他服务,可以通过下列两种方式:• 在客户端计算机上设置SOCKS(套接字安全协议)代理。Cloudera建议您使用此选项。• 将CDP/CDP部署到公有云之后,将入站规则添加到公有云实例中的网络安全组。

在公有云或者内外网环境中,Cloudera的平台产品CDH/CDP/HDP需要访问很多Web UI,但系统网络可能仅支持SSH访问(22端口)。要访问Cloudera Manager7180端口)或者其他服务,可以通过下列两种方式:

  • 在客户端计算机上设置SOCKS套接字安全协议)代理。Cloudera建议您使用此选项。
  • CDP/CDP部署到公有云之后,将入站规则添加到公有云实例中的网络安全组。

1. 配置SOCKS代理

SOCKS5协议是作为客户端和服务器进程实现的,它可以遍历IP网络防火墙。配置SOCKS代理后,浏览器使用公有云网络(通过代理服务器)解析DNS查找,并允许您使用内部FQDN或专用IP地址连接到服务。

使用这种方法,您可以完成以下任务:

  • 设置到网络上主机之一的单个SSH隧道,并在主机上创建SOCKS代理。
  • 更改浏览器配置,以通过SOCKS代理主机执行所有查找。

1.1. 网络先决条件

在使用SOCKS代理连接到集群之前,请验证以下先决条件:

  • 您必须能够从公共Internet或您要从其连接的网络中访问要代理的主机。
  • 您要代理的主机必须与您要连接的Cloudera服务位于同一网络上。例如,如果您使用的是Cloudera CDP/EDH产品,请通过隧道连接到Cloudera Manager主机。

1.2. 查找主机的公共IP

对于Cloudera EDH产品,请使用第0个主节点VM的公共IP[dnsName] -mn0

2.启动SOCKS代理

2.1.Linux

要通过SSH启动SOCKS代理,请运行以下命令:

ssh -i your-key-file.pem -CND 1080
the_username_you_specified@publicIP_of_VM

该命令使用以下参数:

  • -i your-key-file.pem指定SSHCloudera CDP/EDH服务器所需的私钥的路径。如果使用SSH密码,则省略。
  • C设置压缩。
  • N建立后禁止执行任何命令。
  • D在端口上设置SOCKS代理。
  • 1080用于在本地设置SOCKS代理的端口。

Picture1.png

2.2. Windows

按照Microsoft网站上说明进行操作

3.配置Google Chrome浏览器以使用代理

默认情况下,Chrome浏览器会按配置文件使用系统范围的代理设置。要在没有这些设置的情况下启动Chrome,请通过命令行打开Chrome并指定以下内容:

  • SOCKS代理端口。该端口必须与启动代理时使用的端口相同。
  • 配置文件。下面的示例创建了一个新的配置文件。

使用以下命令之一创建配置文件并启动与当前任何正在运行的Chrome实例不冲突的Chrome的新实例。

3.1.Linux

/usr/bin/google-chrome \
--user-data-dir="$HOME/chrome-with-proxy" \
--proxy-server="socks5://localhost:1080"

3.2. Mac OS X

"/Applications/Google Chrome.app/Contents/MacOS/Google Chrome" \
--user-data-dir="$HOME/chrome-with-proxy" \
--proxy-server="socks5://localhost:1080"

3.3. 微软Windows

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" ^
--user-data-dir="%USERPROFILE%\chrome-with-proxy" ^
--proxy-server="socks5://localhost:1080"

在此Chrome会话中,您可以使用私有IP地址或内部FQDN连接到Cloudera EDH可访问的任何主机。

我这边的客户端是Mac OS X,执行完上面的代理后将启动一个新的Chrome实例。

Picture2.png

这样就可以通过内网访问Cloudera Manager和其他Web UI

Picture3.png

也可以通过CM中的web UI跳转直接跳转过去。

Picture4.png

4. 网络安全组

警告:除概念验证以外,不建议将此方法用于任何其他目的。如果没有仔细锁定数据,那么黑客和恶意实体将可以访问这些数据。

有关Cloudera ManagerCDP组件,托管服务和第三方组件使用的端口的更多信息,请参阅Cloudera文档。

原文链接:https://docs.cloudera.com/cdp-private-cloud-base/7.1.6/security-how-to-guides/topics/cm-security-howto-access-cdh-microsoft-azure.html

目录
相关文章
|
监控 druid Java
为Druid监控配置访问权限(配置访问监控信息的用户与密码)
Druid是一个强大的新兴数据库连接池,兼容DBCP,是阿里巴巴做的开源项目. 不仅提供了强悍的数据源实现,还内置了一个比较靠谱的监控组件。  GitHub项目主页: https://github.
2487 0
|
2月前
|
Apache 数据安全/隐私保护
HAProxy的高级配置选项-ACL篇之基于策略的访问控制
这篇文章介绍了HAProxy的高级配置选项,特别是如何使用ACL(访问控制列表)进行基于策略的访问控制,通过实战案例展示了如何配置HAProxy以允许或拒绝来自特定源地址的访问。
51 6
HAProxy的高级配置选项-ACL篇之基于策略的访问控制
|
3月前
|
JSON 安全 网络协议
【Azure Policy】添加策略用于审计Azure 网络安全组(NSG)规则 -- 只能特定的IP地址允许3389/22端口访问
为了确保Azure虚拟机资源的安全管理,只有指定IP地址才能通过RDP/SSH远程访问。解决方案包括使用Azure Policy服务扫描所有网络安全组(NSG),检查入站规则中的3389和22端口,并验证源地址是否在允许的IP列表中。不符合条件的NSG规则将被标记为非合规。通过编写特定的Policy Rule并定义允许的IP地址参数,实现集中管控和合规性检查。
|
5月前
|
存储 监控 安全
数据访问权限如何通过角色管理实现?
【6月更文挑战第24天】数据访问权限如何通过角色管理实现?
78 9
|
5月前
|
存储 监控 安全
数据访问权限
【6月更文挑战第24天】数据访问权限
126 5
|
6月前
|
数据库 数据安全/隐私保护
在阿里云中,访问控制(Resource Access Management,简称RAM)是权限管理系统,主要用于控制账号在阿里云中
在阿里云中,访问控制(Resource Access Management,简称RAM)是权限管理系统,主要用于控制账号在阿里云中
649 3
|
UED
路由权限登录后还保留上一个登录角色的权限,刷新一下就好了的解决方案
路由权限登录后还保留上一个登录角色的权限,刷新一下就好了的解决方案
87 0
EMQ
|
JSON 网络性能优化 API
支持 ACL 访问控制、引入 HOCON 全新配置文件格式
11月,超轻量MQTT Broker NanoMQ 0.14版本发布,推出了ACL鉴权服务,并引入了HOCON格式的配置文件。
EMQ
225 0
支持 ACL 访问控制、引入 HOCON 全新配置文件格式
|
弹性计算 安全 关系型数据库
使用管控策略(CP:Allow)实现企业可用产品白名单
作为「资源目录」的核心能力,「管控策略CP:Allow」为企业构建顶层合规方案,帮助企业简单、高效实现“可用产品白名单”管理
406 1
|
安全 Java 数据管理
基于角色访问控制RBAC权限模型的动态资源访问权限管理实现
前面主要介绍了元数据管理和业务数据的处理,通常一个系统都会有多个用户,不同用户具有不同的权限,本文主要介绍基于RBAC动态权限管理在crudapi中的实现。RBAC权限模型(Role-Based Access Control)即:基于角色的权限控制。模型中有几个关键的术语: 用户:系统接口及访问的操作者 权限:能够访问某接口或者做某操作的授权资格 角色:具有一类相同操作权限的用户的总称 。 #### 用户角色权限关系 一个用户有一个或多个角色 一个角色包含多个用户 一个角色有多种权限 一个权限属于多个角色
720 0
基于角色访问控制RBAC权限模型的动态资源访问权限管理实现